Заключение

date image 2015-08-12
views image 316
Поделись с друзьями: 
19202122232425

В заключение отметим следующее. В учебном пособии рассмотрены математические модели и метод формального проектирования системы защиты информационной системы, предполагающие использование в качестве элемента безопасности не угрозы, а уязвимости, что позволяет ввести реальные, определяемые на основании существующей статистики, с использованием математического аппарата теории массового обслуживания и теории прогнозирования, а не задаваемые экспертным путем, эксплуатационные параметры безопасности информационной системы, в результате чего, построить ее адекватную модель. Другой важной составляющей использования при моделировании в качестве элемента безопасности уязвимости, является то, что именно в части защиты от атак на уязвимости информационной системы, создающих угрозу реализации подобных атак, решаются задачи защиты информации. Рассмотрение угрозы атаки, как последовательности использования уязвимостей, как следствие, в качестве зависимых событий, частично использующих одни и те же уязвимости, позволило ввести количественную оценку актуальности уязвимости, используемую в качестве критерия оптимальности для изложенного метода формального проектирования систем защиты информации, реализуемого с целью формирования требований к набору задач защиты, решаемых проектируемой системой защиты, а также корректно применить соответствующий математический аппарат теории вероятностей для количественной оценки актуальности угрозы безопасности информационной системы. Введенная интерпретация угрозы атаки и угрозы безопасности информационной системы соответствующими орграфами позволила перейти к исследованию вопросов эксплуатационной информационной безопасности в терминах теории надежности, применив соответствующий математический аппарат, представив угрозу атаки схемой последовательного, а угрозу безопасности информационной системы - схемой параллельного резервирования. Исследованы принципиальные особенности проектирования защищенной информационной системы, как системы с отказами и восстановлениями свойства информационной безопасности в процессе эксплуатации. Рассмотрена модель нарушителя, построенная с использованием основ теории информации, предполагающая формальную оценку сложности реализации атаки, как вероятностной меры количества информации в отношении атаки, которым должен обладать злоумышленник для ее успешной реализации. Введена количественная оценка эксплуатационного риска потерь, изменяемого в процессе функционирования информационной системы, от реализации атаки на информационную систему. Рассмотрены вопросы и метод эксплуатационного проектирования системы защиты, предполагающего необходимость уточнения результатов исходного проектирования системы защиты в процессе функционирования защищенной информационной системы.

Изложены методы формального проектирования системы защиты информационной системы, позволяющие сформировать требования к эксплуатационным параметрам системы защиты. Приведена оценка потенциальных возможностей современных систем защиты в части достижения ими требуемых значений эксплуатационных характеристик.

Исследованы задачи резервирования элементов информационных систем, решаемые с целью повышения уровня их эксплуатационной информационной безопасности. Выявленные основные противоречия, связанные с тем, что атаки на резервируемый и резервирующий элементы, в отличии от их отказов, никак не могут рассматриваться в качестве независимых событий. Изложен метод резервирования с разделением обрабатываемой информации, который в общем случае может применяться для решения задач повышения уровня интегрированной информационно-эксплуатационной безопасности - для повышения уровня, как информационной, так и эксплуатационной безопасности. Ведь именно задача уровня интегрированной информационно-эксплуатационной безопасности (т.е. задачи резервирования в комплексе) и должна решаться при проектировании современных информационных систем.

Таким образом, в учебном пособии изложен математический аппарат, который может быть применен для формального проектирования систем защиты современных информационных систем. Однако, одно дело, определить то, какие задачи защиты должны решаться системой защиты, какие она должна иметь эксплуатационные характеристики, и совсем другое дело, определить то, как должны решаться эти задачи - как собственно реализовать защиту информации на практике, как обеспечить корректность реализации защиты - сформировать такие требования к системе защиты, выполнение которых позволит построить безопасную систему. Эти и иные вопросы проектирования системы защиты, уже в части разработки и оценки эффективности технических решений, изложены в учебном пособии [24].


ЛИТЕРАТУРА

1.ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации, 2009.

2.Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Нормативный документ ФСТЭК России, 2008.

3.Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. Приказ ФСТЭК России от 11 февраля 2013 г. N 17.

4.Вентцель Е.С. Исследование операций. - М.: Советское радио, 1972. - 552 с.

5.Исадминов А.Н. Модель процесса защиты информации в условиях информационного противоборства // Безопасность информационных технологий. - 2004 - №1, С. 63-68.

6.Королев В.Ю., Бенинг В.Е., Шоргин С.Я. Математические основы теории риска. М.: Физматлит, 2011. - 591 с.

7.Корт С.С. Теоретические основы защиты информации: Учебное пособие - М.: Гелиос АРВ, 2004 - 240 с.

8.Корченко А.Г. Построение систем защиты информации на нечетких множествах. Теория и практические решения. - К.:МК-Пресс, 2006 - 320 с.

9.Малюк А. А. Информационная безопасность: концептуальные и методологические основы защиты информации. - М.:Горячая линия - Телеком, 2004 - 280 с.

10.Мельников В.В. Безопасность информации в автоматизированных системах. -М.: Финансы и статистика, 2003 - 368 с.

11.Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. - М.: Компания АйТи; ДМК Пресс, 2004. - 384 с.

12.Половко А.М., Гуров С.В. Основы теории надежности. - СПб.: БХВ-Петербург. - 2006.- 704 с.

13.Росенко А.П. Марковские модели оценки безопасности конфиденциальной информации с учетом воздействия на автоматизированную информационную систему внутренних угроз // Вестник ставропольского государственного университета. - 2005. - №43. - С. 34-40.

14.Саати Т. Элементы теории массового обслуживания и ее приложения. – М.: Изд. «СОВЕТСКОЕ РАДИО», 1965. – 511 с.

15. Саркисян С.А и др. Теория прогнозирования и принятия решений. – М.: Высшая школа. – 1977. – 351 с.

16. Соколов. А.В., Шаньгин В.Ф. Защита информации в распределенных корпоративных сетях и системах. - М.:ДМК Пресс, 2002 - 656 с.

17.Тищенко.Е.Н., Строкачева О.А. Вероятностные методы анализа защищенности систем электронной коммерции // Материалы VIII научно-практической конференции ≪Информационная безопасность≫. Часть 1 - Таганрог: ТРТУ, 2006. С. 204 - 207.

18.Тумоян Е.П. Метод моделирования компьютерных атак на основе вероятностных автоматов // Материалы X Международной научно-практической конференции ≪Информационная безопасность≫. Ч. 1. - Таганрог: Изд-во ТТИ ЮФУ, 2008 - С. 190 - 194.

19.Шапкин А.С., Шапкин В.А.. Теория риска и моделирование рисковых ситуаций. - M.: Дашков и К, 2005. - 880 с.

20.Шеннон К.Е. Математическая теория связи // Работы по теории информации и кибернетике, пер. с англ., М., 1963, с. 243-332.

21.Щеглов К.А., Щеглов А.Ю. Защита от атак на уязвимости приложений. Модели контроля доступа // Вопросы защиты информации. - 2013. - Вып. 101. - № 2. - С. 36-43.

22.Щеглов К.А., Щеглов А.Ю. Эксплуатационные характеристики риска нарушений безопасности информационной системы // Научно-технический вестник информационных технологий, механики и оптики. - 2014. - №1(89). - С.129-139.

23.Щеглов К.А., Щеглов А.Ю. Математические модели эксплуатационной информационной безопасности // Вопросы защиты информации. - 2014. - Вып. 106. - № 3. - С. 52-65.

24.Щеглов А.Ю. Модели, методы и средства контроля доступа к ресурсам вычислительных систем. Учебное пособие. – СПб: СПбГУ ИТМО, 2014. – 97 с.

25.Цыгичко В.Н., Смолян Г.Л., Черешкин Д.С. Методология комплексной оценки эффективности системы информационной безопасности. М.: Системные исследования. Методологические проблемы. Ежегодник 1997. ИСА РАН, Эдиториал УРСС, 1998.- С155 - 169.

26.Возможности Norton Internet Security [Электронный ресурс]. Режим доступа: https://support.norton.com/sp/ru/ru/home/current/solutions/v59829727_EndUserProfile_ru_ru?q=15минут, свободный (02.04.2014).

27.Итоги 2013: угрозы и эксплуатация Windows [Электронный ресурс]. Режим доступа http://www.habrahabr.ru/company/eset/blog/209694/, свободный (02.04.2014).

28. Малый и средний бизнес теряет 780 тысяч рублей при каждом компьютерном взломе [Электронный ресурс]. Режим доступа: http://www.itsec.ru/newstext.php?news_id=100831, свободный (25.09.2014).

29.Отчет по уязвимостям 20.02-26.02 2012 [Электронный ресурс]. Режим доступа: URL:/ http://www.securitylab.ru/vulnerability/reports/420676.php, свободный (02.04.2014).

30.Полное руководство по общему стандарту оценки уязвимостей версии 2. Часть первая. Группы метрик [Электронный ресурс]. Режим доступа: http:// www.securitylab.ru/analytics/355336.php, свободный (02.04.2014).

31.С какой частотой загружаются обновления антивирусных баз при выборе опции «Автоматически» в свойствах задачи обновления? [Электронный ресурс]. Режим доступа: http://support.kaspersky.ru/8595, свободный (02.04.2014).

32.Шабанов И. Антивирусные вендоры ищут выход из технологического тупика. Аналитический центр Anti-Malware.ru [Электронный ресурс]. Режим доступа: http://www.anti-malware.ru/antivirus_trends, свободный (25.09.2014).

33.Эксперты: трояны по-прежнему остаются самым популярным вредоносным ПО [Электронный ресурс]. Режим доступа: http://www.itsec.ru/newstext.php?news_id=100297, свободный (25.09.2014).

34.Application Security Inc. Vulnerability Disclosure Policy [Электронный ресурс]. Режим доступа: http:// www.appsecinc.com/aboutus/vulndisclosepolicy, свободный (02.04.2014).

35.CERT/CC Vulnerability Disclosure Policy [Электронный ресурс]. Режим доступа: http://http://www.cert.org/kb/vul_disclosure.html, свободный (02.04.2014).

36.FIRST [Электронный ресурс]. Режим доступа: http://www.first.org, свободный (02.04.2014).

37.Microsoft Security Response Center Security Bulletin Severity Rating System [Электронный ресурс]. Режим доступа: http://www.microsoft.com/technet/security/ bulletin/rating.mspx, свободный (02.04.2014).

38.Kaspersky Security Bulletin. Основная статистика за 2011 год [Электронный ресурс]. Режим доступа: http://http://www.securelist.com/ru/analysis/208050741/rss/analysis, свободный (02.04.2014).

39.SANS Critical Vulnerability Analysis Archive [Электронный ресурс]. Режим доступа: http://www.sans.org/newsletters/cva/, свободный (02.04.2014).

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

19202122232425

double arrow
Сейчас читают про:

article image
Виды деятельности. Существуют различные классификации видов деятельности:
article image
Показатели движения численности работников. Пример 1,2
article image
Технология изготовления порошков
article image
Анализ финансового состояния предприятия
article image
ОСНОВЫ МЕТОДИКИ САМОСТОЯТЕЛЬНЫХ ЗАНЯТИЙ ФИЗИЧЕСКИМИ УПРАЖНЕНИЯМИ
article image
Органы внутренних дел РФ: понятие, задачи, система органов
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Бог всегда выбирает самый простой путь. © Эйнштейн ==> читать все изречения...
like icon 5779
like icon 5597
Понравился сайт? Поделись им с друзьями: